Uso dei pacchetti di sicurezza
L'interfaccia SSPI ( Security Support Provider Interface ) può essere usata con i pacchetti di sicurezza seguenti:
I protocolli Kerberos e NTLM vengono implementati come pacchetti di sicurezza dal provider di supporto di sicurezza Secur32.dll fornito con il sistema operativo. Per impostazione predefinita, il supporto per l'autenticazione Kerberos e NTLM viene caricato dall'autorità di sicurezza locale (LSA) in un computer all'avvio del sistema. Nei domini Windows Server o Windows è possibile usare entrambi i pacchetti per autenticare gli accessi di rete e le connessioni client/server. Il quale viene usato dipende dalle funzionalità del computer dall'altro lato della connessione. Il protocollo Kerberos è sempre preferibile, se disponibile.
Dopo aver stabilito un contesto di sicurezza per un utente interattivo, un'altra istanza del pacchetto Kerberos o NTLM può essere caricata da un processo in esecuzione nel contesto di sicurezza dell'utente per supportare lo scambio, la firma, la verifica, la crittografia e la decrittografia dei messaggi. Tuttavia, nessun processo diverso da LSA è mai autorizzato ad accedere alle chiavi di sessione o ai ticket nella cache delle credenziali.
I servizi di sistema e le applicazioni a livello di trasporto accedono a un provider di servizi condivisi tramite SSPI, che fornisce funzioni per l'enumerazione dei pacchetti di sicurezza disponibili in un sistema, la selezione di un pacchetto e l'uso di tale pacchetto per ottenere una connessione autenticata.
I metodi in SSPI sono routine generiche che gli sviluppatori possono usare senza conoscere i dettagli di un particolare protocollo di sicurezza. Ad esempio, quando viene autenticata una connessione client/server:
- L'applicazione sul lato client della connessione invia le credenziali al server usando la funzione SSPI InitializeSecurityContext (Generale).
- L'applicazione sul lato server della connessione risponde con la funzione SSPI AcceptSecurityContext (Generale).The application on the server side of the connection responds with the SSPI function AcceptSecurityContext (General).
- Dopo l'autenticazione della connessione, LSA nel server usa le informazioni del client per compilare un token di accesso.
- Il server può quindi chiamare la funzione SSPI ImpersonateSecurityContext per collegare il token di accesso a un thread di rappresentazione per il servizio.
Pacchetto di sicurezza Kerberos
Il pacchetto di sicurezza Kerberos si basa sul protocollo di autenticazione Kerberos.
Se il protocollo Kerberos viene usato per autenticare una connessione client/server, InitializeSecurityContext (Kerberos) genera un messaggio GSSAPI che include un messaggio KRB_AP_REQ dal client. AcceptSecurityContext (Kerberos) genera quindi un messaggio GSSAPI che include un messaggio KRB_AP_REP dal server.
Per informazioni di base sui passaggi che si espongono dietro le quinte nell'implementazione di un protocollo Kerberos, vedere Microsoft Kerberos.
Tutti i servizi distribuiti usano SSPI per accedere al protocollo Kerberos. Un elenco parziale dei modi in cui viene usato il protocollo Kerberos per l'autenticazione include:
- Servizi di spooler di stampa
- Accesso remoto ai file CIFS/SMB
- Query LDAP in Active Directory
- Gestione e segnalazioni di file system distribuiti
- Autenticazione dell'autorità di sicurezza da host a host IPsec
- Richieste di prenotazione per qualità del servizio di rete
- Autenticazione Intranet a Internet Information Services
- Gestione remota del server o della workstation tramite RPC autenticato
- Richieste di certificati a Servizi certificati per utenti e computer di dominio
Pacchetto di sicurezza NTLM
Il pacchetto di sicurezza NTLM si basa sul protocollo di autenticazione NTLM.